Wem das letzte Jahr der IT-Hype ein bisschen zu rasant war, für den könnte sich ein Blick auf den Themenbereich Cybersecurity lohnen. Denn während sich im Rest der Branche die Superlative abwechselten, läuft die Entwicklung hier gemächlicher - eigentlich ein Paradoxon, das sich aber leicht erklären lässt. Denn es ist nicht etwa so, dass sich Cyberkriminelle nicht der ausgefeilten Technologien bedienen können. Sie sehen aber schlicht keine Notwendigkeit dazu, was wiederum daran liegt, dass es noch genug Unternehmen gibt, deren IT-Systeme Angreifern sperrangelweit offenstehen und die es einfach nur "abzugrasen" gilt.
Dass sich Angriffe mit Ransomware noch lohnen, das sieht man zuallererst daran, dass das Geschäftsmodell nicht nur existiert, sondern wegen der vielen "Low-Hanging Fruits" auch noch floriert. Vor allem die Corona-Krise hat mit der schlagartigen Einführung von Remote-Arbeit in vielen Unternehmen Sicherheitslücken entstehen lassen, die sich mit der entsprechenden Priorisierung im Management eigentlich leicht schließen lassen würden. Doch genau dieser Schritt blieb bislang oft aus, wie Experten konstatieren.
So findet Michael Schröder vom Security-Softwarehersteller ESET, dass die vorhandene Technologie ausreichend sei, um einen großen Teil der Angriffe zu verhindern. "Sie ist nur leider in vielen Unternehmen nicht im Einsatz. Das Problem sind - ganz unverblümt gesagt - die vielen Entscheider, die bislang den Komfort vor die Sicherheit gestellt haben. Es muss einfach in die Köpfe, dass ein Verzögern keine Option mehr sein kann."
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'
Was laut der beim Computerwoche-Roundtable geladenen Experten kaum hilft, ist eine "Augen-zu-und-durch"-Mentalität. Denn die Realität ist längst, dass es jedes Unternehmen erwischen kann und irgendwann auch wird. Viel wichtiger ist es daher für Markus Westphal von NTT, die richtigen Schlüsse aus dieser Erkenntnis zu ziehen:
"Der Fokus wandert von der Prävention mehr auf die Incident Response. Von daher ist es uns immer wichtig, das "Was-Ist-Wenn" zu klären und einen Notfallplan zu haben."
Dass die Response wichtiger wird, heißt aber nicht, dass jegliche Prävention unnötig wäre. Es geht aber vielmehr darum, keine überdimensionierten Schutzmaßnahmen zu errichten, die ohnehin nicht in ihrer Gänze genutzt werden können. Wichtiger sind, ein gewisses Grundschutzniveau zu erreichen, das einen Angriff aufwendiger und damit unattraktiver macht.
"Klar bringen neue Technologien auch neue Chancen", stellt Jens Freitag von Tenable fest. "Aber oft sind es erstmal die Basics, die über den Erfolg entscheiden. Aus diesem Grund würde ich die 'Cyberhygiene' besonders priorisieren. Gerade in SaaS-Landschaften existieren viel zu viele undurchdachte Setups mit Fehlkonfigurationen, die nicht sein müssen. Das liegt einerseits an zu wenig Mitarbeitern, andererseits an der falschen Konfiguration. Cloud wird oft als reines Outsourcing-Instrument gesehen, bei dem die Security nicht den Stellenwert erhält, den sie eigentlich haben sollte."
- Stephan Bock, Cloudflare
"Der Mittelstand hält sich für zu klein, als dass es ihn erwischen könnte. Das ist ein Trugschluss, auch solche Unternehmen werden vermehr Opfer von Ransomware-Attacken." - Michael Schröder, ESET
"Ich glaube nicht, dass Awareness Trainings in naher Zukunft noch nennenswert dabei helfen werden, das Risiko einzudämmen. Die Vermeidung einer Interaktion mit Schadsoftware kann nur technologisch erreicht werden." - Michael Weisgerber, Fortinet
"In die Medien schaffen es leider fast ausschließlich die großen Fälle wie jüngst MGM. Dadurch entsteht der falsche Eindruck, dass solche Vorfälle nur ab und zu passieren. Tatsächlich sind Ransomware-Attacken aber Alltag. Es trifft regelmäßig auch das kleine Unternehmen um die Ecke. Das zu thematisieren würde helfen, das allgemeine Gefahrenbewusstsein weiter zu erhöhen." - Markus Westphal, NTT
"Es ist wichtig, verschiedene Schutzlevel und -mechanismen zu installieren und herstellerübergreifend zu schauen, welche Technologie welchen Einsatzzweck bedient." - Bert Skaletski, Proofpoint
"Das Einfallstor Nummer eins ist immer noch die E-Mail. Und selbst große Enterprises machen nach wie vor nicht genug, um diese Bedrohungen in den Griff zu bekommen." - Michael Veit, Sophos
"Managed Security Services wie MDR und Co. haben in den vergangenen Jahren deutlich zugenommen, weil die Unternehmen die Komplexität und Manpower gar nicht mehr alleine abbilden können." - Jens Freitag, Tenable
"Wir dürfen uns die Angreifer nicht immer als “Script Kiddies” vorstellen. Das sind richtige Unternehmen, die sogar eine Personal- oder Marketingabteilung, sowie Support unterhalten." - Jan Kolloch, WithSecure
"Die IT-Ressourcen sind insgesamt oft sehr auf Kante genäht. Das geht zwangsläufig zulasten der Security, mit dem Ergebnis, dass wir bei der Konfiguration aber auch der Interpretation von Daten deutliche Lücken haben."
Auf beiden Seiten rationale Akteure
Auch wenn es vor allem die prominenten Fälle wie zuletzt MGM oder MotelOne sind, die in den Schlagzeilen landen, ist Ransomware ein alltägliches Phänomen, das insbesondere den Mittelständler vor Ort trifft. Und genauso wie Angreifer den Weg des geringsten Widerstands gehen und auf Optimierung ihres Kosten-Nutzen-Verhältnisses achten, sind auch die Unternehmen oft versucht, durch Zahlung ein schnelles Ende ihrer Handlungsunfähigkeit herbeizuführen.
"Ein Lösegeld zu bezahlen ist immer eine nüchterne Abwägung", betont auch Michael Weisgerber. "Zunächst einmal steht es zu prüfen, ob es überhaupt legal ist, zu zahlen. Natürlich gibt es auch keine Garantie, dass die Erpresser auch liefern werden und/oder die Schlüssel funktionieren." Das Beispiel MGM zeige aber, dass solche Abwägungen trotzdem oft zugunsten einer Zahlung ausfallen können: "Die MGM-Resorts machen pro Tag etwa 13 Millionen USD Umsatz. Wenn dieser ausfällt, bei weiter laufenden Kosten, hat man sehr schnell den geforderten Lösegeldbetrag erreicht. Typischerweise in einer kleineren Zeitspanne, als eine vollständige Wiederherstellung aus Backups dauern würde."
Natürlich sollte man keine Lösegelder zahlen, aber in der Praxis ist es manchmal nicht so einfach, so prinzipienfest zu sein. Wenn man kein Backup hat, hat man oft einfach keine Wahl.
Die Marktteilnehmer beobachten auch eine steigende Rationalität auf Angreiferseite, die genau solche Situationen provoziert: Lösegeldforderungen, die gerade so verschmerzbar sind, dass die Zahlung attraktiver ist, als der mühsame Weg über die "klassischen" Backup- und Recovery-Wege.
Trotzdem raten die Experten eindeutig davon ab, Lösegelder zu zahlen: "Es ist nicht einmal sicher, dass man einen funktionierenden Recovery Key bekommt", so Bert Skaletski von Proofpoint. Außerdem denken sich die Angreifer dann 'OK, bei diesem Unternehmen lohnt es sich besonders' und kommen nach ein paar Monaten wieder."
Eine Mischung aus pragmatischen Schutz und klarem Response-Plan verspricht demnach die größte Risikominimierung bei effizientem Budgeteinsatz. Die Unternehmen sollten sich aber keine Illusionen darüber machen, dass die Investitionen insgesamt nicht steigen müssen, um ein annähernd angemessenes Schutzniveau zu erreichen.
"Die Bedrohungslage ist im Rahmen von Corona gestiegen, da ist sich die ganze Branche einig und das zeigen auch unsere eigenen Erhebungen. Die Budgets wurden aber nicht im gleichen Maß erhöht", stellt Stephan Bock von Cloudflare klar. "14% des Gesamt-IT-Budgets sind immer noch deutlich zu wenig. Das ist wie ein Tropfen auf den heißen Stein."
Studie "Ransomware 2024": Sie können sich noch beteiligen! |
Zum Thema Ransomware führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (regina.hermann@foundryco.com, Telefon: 089 36086 161) und Manuela Rädler (manuela.raedler@foundryco.com, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF). |
Ehrliches Bewusstsein statt "Checkbox-Mentalität"
Ein weiteres Risiko sehen die Experten in der Dynamik des Cloud-Zeitalters selbst. Zwar stimmt es, dass die Security in den Hyperscaler-Infrastrukturen leichter aus der Cloud bezogen und konfiguriert werden kann. Diese vermeintliche Einfachheit lasse allerdings auch eine "Checkbox-Mentalität" entstehen, in der das Schutzniveau zwar formell erfüllt werde, allerdings die Konfiguration nicht zum Zielszenario passt. Für Bert Skaletski müsse diese Mentalität "einem ehrlichen Security-Bewusstsein weichen." Viele Unternehmen ruhen sich aus seiner Sicht auf ihrer Microsoft-Lizenz aus, hätten aber die technologischen Mechanismen nicht mal im Ansatz durchdrungen.
Auch Jens Freitag sieht in der Checkbox-Mentalität das Kernproblem: "Unternehmen kaufen sich zum Beispiel eine E5-Lizenz und denken, dass sie damit hinter das Thema Security einen Haken setzen können - egal ob die Lösung ausgerollt wird oder nicht, überspitzt gesagt. Das muss sich fundamental ändern. Security muss im Kern verstanden werden, sonst ist sie lückenhaft und bietet zu viel Angriffsfläche."
"Kunden, die eine E3 oder eine E5-Lizenz von Microsoft haben, hinterfragen ihre Infrastruktur kaum mehr, sondern denken, dass sie automatisch sicher sind", weiß auch Michael Schröder. "Sicherheit ist aber kein Add-On, das man einfach anschalten kann."
Bei der Steigerung der Security ist es auch nicht nötig, sich in technologischen Superlativen zu verlieren, sondern zu verstehen, dass die Basics entscheidend sind: "Klar hilft eine KI zum Beispiel, eine Phishing-Mail noch besser und zielgenauer zu schreiben. Fundamental ändert sich durch KI aber erstmal nichts, die Angriffe laufen nach wie vor sehr 'klassisch' ab, entlang der Schritte der bekannten Angriffskette. Es gibt einfach zu viele Low Hanging Fruit da draußen, als dass man sich als Angreifer jetzt unbedingt modernisieren müsste."
Paradoxerweise ist es eher eine andere Gruppe von Angreifern, die gerade von KI und Co. profitiert: "Der KI-Durchbruch verändert bei den professionellen "großen" Cyberkriminellen erstmal nicht viel", sagt Michael Veit von Sophos. "Wohl aber bei den "Script Kiddies", die mit ChatGPT und Co. viel gefährlicher werden."
Prävention, Forensik und klare Maßnahmen
Ein effektive Strategie gegen Ransomware besteht im Jahr 2023 also aus verschiedenen Faktoren und Erkenntnissen: Angreifer gehen gezielter und "rationaler" vor, sie nehmen sich mehr Zeit und zielen auch auf kleinere Unternehmen ab, bei denen zwar weniger zu holen ist, deren Systeme aber auch leicht zu überwinden sind. Auf der Präventionsebene ist es deswegen wichtig, seine Hausaufgaben zu machen, die Cyberhygiene nicht zu vernachlässigen, die Cloud Security sinnvoll und nicht nach "Checkbox-Mentalität" zu konfigurieren. Auf diese Weise treibt man die Kosten für Angreifer so hoch, dass sie sich anderen "Opfern" zuwenden.
Künstliche Intelligenz und noch wichtiger Machine Learning können auf der Detection-Ebene unterstützen und den Schaden weiter minimieren. Gerade bei der Erkennung von Mustern in Telemetriedaten kann Automatisierung laut Skaletski auch einen entscheidenden Mehrwert bringen, weil dadurch fehlende Fachkräfte kompensiert werden können. "KI wird den Verteidigern im Kampf gegen die fortgeschrittenen Angreifer definitiv helfen."
Insgesamt geht es bei der Ransomware Protection nicht darum, gigantische Sprünge zu machen und im Hau-Ruck-Verfahren überdimensionierte Systeme einzuführen. Die Methoden der Angreifer sind bekannt, genauso wie die Möglichkeiten eines angemessenen Schutzes. Es geht jetzt darum, in die Umsetzung zu kommen und Security endlich als unternehmensübergreifende Aufgabe zu verstehen. Michael Veit sieht aber auch, dass sich immer mehr Unternehmen auf den Weg machen: "Das Bewusstsein ist auch auf Entscheiderebene gestiegen. Viele haben mittlerweile mitbekommen, dass ein Angriff auch mal die Pleite bedeuten kann. Jetzt sollten die Unternehmen konsequent auf C-Level eine Strategie formulieren und umsetzen."
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'